Brief regering; Reactie op het verzoek van het lid Öztürk over het bericht ‘Microsoft lekt data Nederlandse ambtenaren naar VS’ - Informatie- en communicatietechnologie (ICT) - Hoofdinhoud
Deze brief is onder nr. 585 toegevoegd aan dossier 26643 - Informatie- en communicatietechnologie (ICT) en dossier 32761 - Verwerking en bescherming persoonsgegevens.
Inhoudsopgave
| Officiële titel | Informatie- en communicatietechnologie (ICT); Brief regering; Reactie op het verzoek van het lid Öztürk, gedaan tijdens de Regeling van werkzaamheden van 14 november 2018, over het bericht ‘Microsoft lekt data Nederlandse ambtenaren naar VS’ |
|---|---|
| Documentdatum | 20-12-2018 |
| Publicatiedatum | 22-12-2018 |
| Nummer | KST26643585 |
| Kenmerk | 26643; 32761, nr. 585 |
| Commissie(s) | Justitie en Veiligheid (JV) |
| Externe link | origineel bericht |
| Originele document in PDF |  |
Tweede Kamer der Staten-Generaal
2019
Vergaderjaar 2018-
26 643 32 761
Nr. 585
Informatie- en communicatietechnologie (ICT) Verwerking en bescherming persoonsgegevens
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 20 december 2018
De heer Öztürk (DENK) heeft tijdens regeling van werkzaamheden van 14 november (Handelingen II 2018/19, nr. 23, item 7) gesproken over berichtgeving in de media over dataverzameling en opslag door Microsoft1.
Naar aanleiding van zijn verzoek deel ik u, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, het volgende mede.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties bevordert vanuit de verantwoordelijkheid voor het Rijksinkoopstel, een gecoördineerde benadering van strategische ICT-leveranciers van de rijksoverheid. De verantwoordelijkheid voor de uitvoering hiervan is, conform de governance van het Rijksinkoopstelsel, bij verschillende organisaties belegd.
Het aanspreekpunt voor Microsoft is Strategisch Leveranciersmana-gement Microsoft Rijk (SLM Microsoft). SLM Microsoft wordt voor het Rijk uitgevoerd door het Ministerie van Justitie en Veiligheid.
SLM Microsoft heeft een Data Protection Impact Assessment (DPIA) laten uitvoeren op diagnostische dataverzamelingen (dat is data over het gebruik van de software) in nieuwe versies van Microsoft Office. Dit onderzoek is uitgevoerd in het kader van de adviesfunctie van SLM binnen de rijksoverheid.
Met de DPIA is vastgesteld dat er via het product «Microsoft Office» diagnostische gegevens van en over de gebruiker verzameld en opgeslagen worden in een database in de VS.
1 Microsoft lekt data Nederlandse ambtenaren naar VS» (Nrc.nl, 13 november 2018). https://www.nrc.nl/nieuws/2018/11/13/microsoft-lekt-data-nederlandse-ambtenaren-naar-vs-a2755066
kst-26643-585 ISSN 0921 - 7371 's-Gravenhage 2018
SLM Microsoft is met Microsoft in gesprek gegaan en heeft op 26 oktober jl. overeenstemming bereikt over een verbeterplan van Microsoft. Microsoft verplicht zich in dit plan om haar producten dusdanig te wijzigen dat het gebruik daarvan voor de Nederlandse overheid binnen de context van de AVG en ander vigerende wet- en regelgeving mogelijk is. Microsoft committeert zich deze wijzingen in april 2019 ter verificatie aan te bieden. Belangrijke afspraken in dit verbeterplan zijn een instellingsmo-gelijkheid tot het beperken van diagnostische datastromen naar Microsoft en volledige inzage in de resterende datastromen naar Microsoft. Er is met Microsoft afgesproken dat SLM op de hoogte wordt gehouden van de voortgang op de realisatie van de verbeteringen.
SLM Microsoft zal, na aanbieding van de verbeterde versies van de Office producten, deze opnieuw beoordelen en de DPIA actualiseren.
Als uit de geactualiseerde DPIA blijkt dat de doorgevoerde verbeteringen onvoldoende zijn, zal SLM Microsoft haar positie opnieuw wegen en is ook de gang naar de Autoriteit Persoonsgegevens, met een verzoek voor een voorafgaande raadpleging en handhaving, een mogelijkheid.
In de tussentijd zullen onderdelen van het Rijk aanvullende maatregelen moeten nemen om het gebruik van Microsoft Office software AVG compliant in te richten. Deze maatregelen bestaan onder andere uit het stremmen van de datastromen naar Microsoft. SLM Microsoft heeft hiertoe van Microsoft de te gebruiken tijdelijke instellingen ontvangen. Deze instellingen zijn verspreid binnen het Rijk.
Tenslotte stelde de heer Öztürk (DENK) de vraag of de Autoriteit Persoonsgegevens een onderzoek is gestart naar Microsoft en, zo nee, waarom niet. De Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder die zelf bepaalt waarnaar zij onderzoek doet.
Ik zal uw Kamer medio 2019 per brief nader informeren over de door SLM Microsoft uitgevoerde verificatie op de uitvoer van het overeengekomen verbeterplan met Microsoft, zoals ook verzocht door de heer Öztürk (DENK) op 14 november jl.
De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus
Tweede Kamer, vergaderjaar 2018-2019, 26 643, nr. 585 2